L'articolo di cui parliamo oggi esplora una nuova campagna di botnet su larga scala che sfrutta le vulnerabilità di sicurezza nelle telecamere IP AVTECH e nei router Huawei HG532. Questa campagna, conosciuta come Murdoc Botnet, è una variante del noto Mirai. Gli esperti di sicurezza informatica hanno segnalato che questa attività dimostra capacità avanzate, sfruttando vulnerabilità per compromettere i dispositivi e costruire reti botnet estese. La campagna è stata attiva almeno dal luglio 2024, con oltre 1.370 sistemi infettati, principalmente in paesi come Malesia, Messico, Thailandia, Indonesia e Vietnam.

Dettagli tecnici

Le prove indicano che la botnet sfrutta falle di sicurezza note come CVE-2017-17215 e CVE-2024-7029 per ottenere l'accesso iniziale ai dispositivi dell'Internet delle cose (IoT) e scaricare il payload successivo tramite uno script shell. Lo script, a sua volta, scarica il malware della botnet e lo esegue in base all'architettura della CPU del dispositivo. L'obiettivo finale di questi attacchi è armare la botnet per eseguire attacchi di tipo denial-of-service distribuiti (DDoS).

Connessioni con altre varianti

Questa evoluzione avviene a pochi mesi dal rilevamento della variante Mirai, denominata gayfemboy, che sfruttava una falla di sicurezza recentemente divulgata e che colpisce i router industriali Four-Faith. A metà del 2024, è stato rivelato che CVE-2024-7029 era stata usata da attori malevoli per arruolare dispositivi AVTECH in una botnet.

Attacchi recenti

La settimana scorsa sono emersi dettagli su un'altra campagna di attacchi DDoS che ha preso di mira grandi aziende e banche giapponesi utilizzando una botnet IoT formata sfruttando vulnerabilità e credenziali deboli. Altri obiettivi sono concentrati negli Stati Uniti, Bahrain, Polonia, Spagna, Israele e Russia. Questa attività DDoS ha preso di mira settori come telecomunicazioni, tecnologia, hosting, cloud computing, servizi bancari e finanziari, con oltre il 55% dei dispositivi compromessi situati in India, seguiti da Sud Africa, Brasile, Bangladesh e Kenya.

Varianti di malware

Il botnet comprende varianti di malware derivate da Mirai e BASHLITE, con comandi che includono metodi di attacco DDoS, aggiornamenti di malware e abilitazione di servizi proxy. Gli attacchi coinvolgono l'infiltrazione dei dispositivi IoT per distribuire un malware loader che scarica il vero payload, che poi si connette a un server di comando e controllo (C2) in attesa di ulteriori istruzioni.

Misure di protezione

Per proteggersi da tali attacchi, è consigliabile monitorare i processi sospetti, gli eventi e il traffico di rete generati dall'esecuzione di binari/script non fidati. È inoltre raccomandato applicare aggiornamenti firmware e cambiare il nome utente e la password predefiniti.